Ceyhun TOPÇUOĞLU Kişisel Web Sitesi

Zararlı Yazılım, Virüs Analizi Nasıl Yapılır ?

Zararlı yazılım ve backdoor analiziUzun süredir makale yazamıyordum bu açığımı telafi edicek güzel bir paylaşım yapmalıyım derken yine uzun süredir yazmayı düşündüğüm zararlı yazılım analiz konusunu sizlerle paylaşmak istedim. Bugün sizlerle birlikte bir dosyanın zararlı olup olmadığını, sizin bilgilerinizi mi çalmaya çalıştığını yoksa dosyalarınızı mı hedef aldığını öğrenebileceğimiz basit analizler yapacağız. Öncelikle şunu söylemek istiyorum bu basit analizlerle kesin bir sonuç elde etmek mümkün değil fakat sizi klasik Anti Virüs korumasından daha iyi koruyacağına garanti verebilirim. Ülkemizde RAT (Remote Administrator Tools), Keylogger, Stealer kullanımı gittikçe artmaktadır. Hemen hemen herkes bu tür zararlı yazılımları elde ederek kendi virüsünü yapmakta. Spynet, DarkCommet, NjRat, Zeus, Emissary, gibi uzman kişiler tarafından kodlanmış programlar ile kendi zararlı yazılımınızı inşa edebiliyorsunuz. Ayrıca yine profesyoneller tarafından kodlanmış şifreleme araçları ile (Crpyter) zararlı yazılımı Antivirüsler tarafından görünmez hale getirip rahat bir şekilde yayabiliyorsunuz. (Crpyerlar Hakkında daha fazla bilgi almak için bu yazımı okuyabilirsiniz.)

– Zararlı Yazılımlar Nasıl Bulaşır ve Sistem Üzerinde ki Aktiviteleri

1-) Bu zararlı yazılımlar genellikle crackli program ve oyun dosyalarının içerisine enjekte edilerek kurulum veya aktivasyon sırasında sisteminize bulaşmaktadır. Ayrıca USB Spread özelliği bulunan zararlı yazılımlar bilgisayara takılan harici belleğe bulaşarak, o belleğin takıldığı başka bilgisayarlarda sıçrama özelliği taşımaktadırlar. Bunun yanı sıra ağ üzerinden ve sosyal medya üzerinden kendini yaymaya çalışan virüslerde günümüzde epeyce mevcut. Ayrıca indirme sitelerinde oldukça fazla bulunan virüsler sizin indirmek istediğiniz dosyanın adını alarak size sanki istediğiniz dosya o virüsmüş gibi gösteriliyor. Bunu anlamanın en kolay yolu indirmek istediğiniz dosya ile size indirtilen zararlı yazılımın boyutunu karşılaştırmak. Bu virüsler genellikle 100 kb – 1.5 mb arasında oluyorlar. Sizden bir websitesi flash playeriniz eski bunu indirin kurun video açılacaktır tarzında bir mesaj veriyorsa hemen o siteyi terk edin. Eğer yine de virüs olduğunu düşünmüyorsanız günümüzde https://get.adobe.com/tr/flashplayer/ sitesinden en güncel sürümünü yükleyerek tekrardan deneyebilirsiniz. Birde en tehlikeli yayılma şekli olan downloaderler var, bunlar web sitesine giriş yaptığınızda sorgulu veya sorgusuz olarak bilgisayarınıza dosya indirterek çalıştırabilirler. Bunlar Java Downloader ( Çalışması için bilgisayarınız da javanın kurulu olması gerekir ) ve HTML downloaderlar olarak ayrılıyor.

2-) Zararlı yazılımlar genellikle benzer özellik gösterirler. Bunlar sistem açılışında kendini başlatmak için kendilerini Kayıt Defterine (Regedit) ilgili dizine kaydederler bu kayıt yolları şu şekilde olabilir;

  • HLM\Software\Microsoft\Windows\Current Versiyon\Run
  • HLM\Software\Microsoft\Windows\Current Versiyon\Polices\Explorer\Run
  • HCU\Software\Microsoft\Windows\Current Versiyon\Run

3-) Kendilerini genellikle kontrol edilmeyen yerlere kopyalarlar ve çalışan herhangi bir uygulamanın içerisine enjekte ederler. Siz görev yöneticisinden zararlı yazılımı göremezsiniz.

4-) Bilgi sızdırmak ve komut beklemek için bir adrese bağlantı gönderir veya topladığı bilgileri mail yoluyla göndermek için hackerin belirlediği adrese istekte bulunurlar.

5-) Ekran görüntüsü, web cam kaydı, tuş basımlarını kaydetme, dosyaları kopyalama gibi eylemlerde bulunurlar.

6-) Bazı virüsler ise doğrudan sizinle çıkar ilişkisi kurarak dosyalarınızı şifreler ve dosyalarınızı tekrardan kullanabilmeniz için sizden para talep eder.

– Anti Virüslere Güvenmeli miyiz?

Aşağıda SpyNet ile oluşturduğum bir Trojan virüsünün “Online Virüs Scanner” siteleri ile analizlerini gösterdim. Hemen altında bu trojan’ın bir crypterden geçirildikten sonraki analiz sonuçları yer alıyor.

Ham zararlı yazılımın taraması için burayı tıklayın
Crypt edilmiş zararlı yazılımın taraması için burayı tıklayın
Crypteri biraz daha geliştirdiğimde aldığım sonuç için burayı tıklayın (Trojanın boyutu 540kb kadar arttı ama sonuç mükemmel)

Gördüğünüz üzere saf trojan 35 Antivirüsden 29’una yakalanırken, basit birkaç Un Dedected (UD) işlemi uyguladığım Gio Crypter ile Crypt ettiğim trojan sadece 35/2 lik güzel bir sonuçla karşımıza çıkıyor. Daha sonra biraz daha uğraştıktan sonra 3. sonuçta görülen 39/0 Yani Full Un Dedectet formuna trojanımızı soktum. Bu işlemlerde beni zorlayan sadece Avira, VIPRE ve Twister Antivirus oldu. Ama onları da biraz uğraş ile geçebildim.

Malesef ki Anti Virüsler bu konuda işinin uzmanı gibi gözükmüyor (Bazı AntiVirüsler sezgisel tarama yaparak dosya çalıştırıldıktan sonra da karar verebilmektedir) Peki ne yapacağız Anti Virüs kullanmayacak mıyız? Tabi ki kullanacağız ama en güvenilir korunma yöntemi ise güvenmediğimiz kaynaklardan edinilen dosyaları bilgisayarınıza yüklememek ve asla crackli, warez yazılım kullanmamak. Kullandığınız Anti Virüse ek olarak Zemana Antilogger kullanabilir Firewall olarak da Comodo Firewall kullanabilirsiniz. Yine de güvenmediğiniz dosyaları çalıştırmak istersiniz Sandboxie tarzında bellekten izole olarak uygulamaları çalıştıran programlar kullanmanızı tavsiye ediyorum. Ayrıca Virüs Programınızı ve İşletim Sisteminizi güncel tutmanızda çok önemli. Microsoft ve güvenlik şirketleri asla size gereksiz güncellemeler sunmaz.

Şimdi benim sizlere asıl bahsetmek istediğim basit, herkesin yapabileceği analiz yöntemlerini anlatacağım;

Biz zararlı olduğunu düşündüğümü yazılımları yine online olan ama daha keskin sonuçlar veren Binary Scanner sitelerine göndererek sistemde ne tür değişiklikler yaptığını, hangi dosyalara erişim sağladığı,  ve nerelere bağlantı isteği gönderdiğini öğreneceğiz.

ayrac

– Malwr

malwr Zararlı yazılım ve backdoor analiziİlk olarak Malwr adlı sitenin analizlerinden bahsetmek istiyorum. Bizim test trojanınmızın Tarama Sonucuna buradan gidebilirisniz. Bu tarama sitesi Cuckoo Sandbox sistemini kullanıyor.Bize şüpheli hareketleri pembe çerçeveli kırmızı yazılar ile bildiriyor. Bu kırmızı yazılara tıklayarak ilgili hareket ve parametreleri görebilirsiniz. Ayrıca sistem çalışma süresi boyunca rastgele alınan Ekran Görüntülerini bizlere sunuyor. Tarama sayfasının aşağısında Özet (Summary) kısmından daha detaylı incelemeler yapabiliyoruz. Files Kısmı ile sistem dosyaları ile etkileşimini görebilirsiniz, oluşturduğu dosyaları yazdığı ve modifiye ettiği dosyaları. Registry Keys tabında Kayıt Defterine yazdığı girdileri gözlemleyebilirsiniz. Burada yukarıda bahsettiğim Başlangıç girdilerini görüyorsanız o uygulamadan şüphelenmeniz için ilk sebeplerden birisi. Mutex bölümünde ise bizlere listelenen kaynakların aynı anda birden çok thread (iş parçacığı) tarafından kullanılmasını engellemeye çalıştığından bahsediyor. Bizim zararlı yazılımımızda bu mekanizma SpyNet’in tuttuğu logları için geçerlidir, oluşturduğu dosyaların dışarıdan başka bir yazılımla veya kullanıcı ile okunmasını engellemek içindir. Ayrıca bir istemciye istekde bulunduysa, hacker’e bilgi vermek veya komut almak için kullandığı adresi Domain adı altında görebilirsiniz. Bu incelemeden ben bağlanılacak host’u hedefadres-test.xyz olarak ayarlamıştım. Bu adres bir IP adresine karşılık gelmediği için IP kısmı boş olarak görüntülenmektedir. Eğer bir IP adresi yazıyorsa istemcinin bulunduğu konumu IP sorgulama siteleri üzerinden sorgulayarak kısmi konum bilgisine sahip olabilirsiniz.

Sizde analizlerinizi bu bağlantı üzerinden yapabilirsiniz : https://malwr.com/submission/

ayrac

– Anubis Iseclab

anubis zararlı yazılım ve backdoor analizi

Birde International Secure Systems Lab (iseclab)’ dan bahsetmek istiyorum. Bizim test trojanınmızın Anubis Tarama Sonucuna buradan gidebilirsiniz. Bu arada Anubis Mısır mitolojisine göre ölüm ve cenaze tanrısıymış. Bence bu sisteme verilebilecek ilginç ve bir o kadarda özel bir isim. Bu hizmet veren site ise piyasada ki en detaylı Binary Scanner’dir malwr de bahsettiklerimin hepsi ve daha fazlasını bu site sizlere sunuyor. Ek olarak kullanılan DLL’ler, silinen, oluşturulan, modifiye edilen ve okunan dosyaları, oluşturulan klasörleri, Bellek haritasını, oluşturulan süreç dosyalarını, registry aktivitelerini, mutexleri, izlenen ve kayıt altına alınan tuşları, istemciye ait host-IP adresini ve daha fazlasını görebilirsiniz. Taramalar sistem yoğunluğuna göre 9-20 dakika arasında sürebiliyor.Tarama dökümlerini html seçeneği ile görüntüleyebilir, isterseniz pdf, xml ve txt dosyaları şeklinde dökümleri görebilirsiniz. Table of Contents (içerik tablosu) bir ağaç yapısındadır. Exe içerisinden çıkan, inject edilen uygulama altında çalışan dosyaları sizlere gösterir ve hepsinin toplu aktivitelerini aşağıdaki tablarda görebilirsiniz. Biraz Ingilizce ile veya translate kullanarak analizlerin sonuçlarını rahatlıkla öğrenebilirsiniz.

Sizde anubis analizlerinizi bu bağlantı üzerinden yapabilirsiniz : http://anubis.iseclab.org/

Ayrıca PDF,JS,Flash dosyalarınızın da analizlerini yine iseclab’ın bize sunduğu https://wepawet.iseclab.org/ ile yapabilirsiniz. Bu uygulama URL üzerinden de tarama yapabilmektedir.

ayrac

Bir de sizlere yine benzer ama biraz daha az fonksiyonel olan bir uygulama daha vermek istiyorum. Ünlü güvenlik yazılımı şirketi olan Comodo’ ya ait bir uygulama işinize yarayabilir; http://camas.comodo.com/

– Ekbilgi

Herhangi bir dosyadan şüphelendiğinizde VirusTotal gibi sitelerde taratın eğer orada temiz sonuç çıkıyor ise bu anlattıklarımı uygularak tehditlerden korunabilirsiniz. Yine de uyarmakta fayda olduğunu düşünüyorum bu analizler sizi her zaman %100 koruyamaz. Mesela bugün bu sistemleri bypass etmek için denediğim basit bir yöntemi sizlere aktarmak istiyorum. Virüse ilk çalışmada herhangi bir hareketde bulunmaması sadece Registery’e ilk çalışmanın olduğunu bildiren bir değer yazdırdım ve virüsü hiçbir aktivitede bulundurmadan beklettim, en son zaman aşımına uğrayarak tarama sonlanıcaktı. İkinci çalışmada o yazdığım değeri sorgulayarak eğer değer yazıldıysa virüsü siteme enjekte etmeye başladım. Sonuç olarak hiçbir şekilde zararlı aktivite gözlenmedi.

Aklınıza takılan, sormak istediğiniz veya öneride bulunmak istediğiniz bir konu var ise yorum olarak bildirebilirsiniz. Herhangi bir şekilde bir dosyadan şüpheleniyor ve analizleriniz yetersiz kalıyor ise yine sayfa altında ki yorum kısmından dosyanızı bana iletebilirsiniz. Dosyayı en kısa zamanda inceleyip analiz sonuçlarımı sizinle paylaşabilirim.

Arama Kelimeleri : anubis iseclab (1) Injection saftrojan (1)
Admin Hakkında
Kocaeli Üniversitesinde Mekatronik Mühendisliği 3. sınıf öğrencisi Nefes Doğa ve Kamp Grubu yöneticisi. #Camping #Vb.net #C# #SolidWorks #PHP #SQL #WebSecurity #ComputerSecurity... Ayrıntılı bilgi için tıklayın

  1. ilker diyor ki:

    güzel açıklayıcı bir makale olmuş tşkler.

  2. Halil diyor ki:

    Gerçekten merak edilen konulara değiniyosun. Makalelerin gerçekten orjinal, takipteyim 🙂

Bir Yorum Yazın

Doğrulama Kodu : (Verilen işlemde boş bırakılan yeri doldurun) * Time limit is exhausted. Please reload CAPTCHA.